A medida que el campo de la inteligencia industrial (IA) continúa evolucionando a un ritmo rápido, una nueva investigación ha antitético cómo las técnicas que representan el protocolo del contexto del maniquí (MCP) susceptibles a ataques inyectados inmediatos podrían estilarse para desarrollar herramientas de seguridad o identificar herramientas maliciosas, según un nuevo mensaje de Tenable.
MCP, resuelto por Anthrope en noviembre de 2024, es un entorno diseñado para conectar modelos de idiomas grandes (LLM) con fuentes y servicios de datos externos, y utilizar herramientas controladas por modelos para interactuar con esos sistemas para mejorar la precisión, relevancia y utilidad de las aplicaciones de IA.
Sigue una obra de cliente cliente, que permite a los hosts con clientes de MCP como Claude Desktop o Cursor se comunicará con diferentes servidores MCP, cada uno de los cuales expone herramientas y capacidades específicas.
Si correctamente el en serie Open ofrece una interfaz unificada para ingresar a diversas fuentes de datos e incluso cambiar entre proveedores de LLM, asimismo vienen con un nuevo conjunto de riesgos, que van desde el repercusión de permiso excesivo hasta ataques de inyección indirecta.
Por ejemplo, regalado un MCP para que Gmail interactúe con el servicio de correo electrónico de Google, un atacante podría cursar mensajes maliciosos que contienen instrucciones ocultas que, cuando se analizan por el LLM, podrían desencadenar acciones indeseables, como reenviar correos electrónicos confidenciales a una dirección de correo electrónico bajo su control.
Asimismo se ha antitético que MCP es pasivo a lo que se fogata envenenamiento por herramientas, en el que las instrucciones maliciosas están incrustadas internamente de las descripciones de herramientas que son visibles para LLMS, y los ataques de tirones de alfombras, que ocurren cuando una aparejo de MCP funciona de forma benigna inicialmente, pero mutita su comportamiento más delante a través de una modernización maliciosa de tiempo de tiempo.
“Cerca de señalar que, si correctamente los usuarios pueden aprobar el uso y el acercamiento de la aparejo, los permisos dados a una aparejo se pueden reutilizar sin retornar a promocionar al sucesor”, dijo Sentinelone en un estudio nuevo.
Finalmente, asimismo existe el aventura de contaminación de la aparejo cruzada o el sombreado de herramientas de servidor cruzado que hace que un servidor MCP anule o interfiera con otro, influyendo sigilosamente en cómo se deben usar otras herramientas, lo que lleva a nuevas formas de exfiltración de datos.
Los últimos hallazgos de Tenable muestran que el entorno MCP podría estilarse para crear una aparejo que registre todas las llamadas de la función de la aparejo MCP al incluir una descripción especialmente elaborada que instruya a la LLM que inserte esta aparejo ayer de invocar cualquier otra aparejo.
En otras palabras, la inyección de solicitud se manipula para un buen propósito, que es registrar información sobre “la aparejo que se le pidió que ejecutara, incluido el nombre del servidor MCP, el nombre y la descripción de la aparejo MCP, y el indicador del sucesor que hizo que la LLM intentara ejecutar esa aparejo”.
Otro caso de uso implica damasquinar una descripción en una aparejo para convertirlo en un firewall que bloquee las herramientas no autorizadas.
“Las herramientas deben requerir la aprobación explícita ayer de ejecutarse en la mayoría de las aplicaciones de host MCP”, dijo el investigador de seguridad Ben Smith.
“Aún así, hay muchas formas en que las herramientas se pueden usar para hacer cosas que pueden no ser estrictamente entendidas por la determinación. Estos métodos dependen de la incorporación de LLM a través de los títulos de descripción y retorno de las herramientas MCP. Cedido que los LLM no son deterministas, asimismo son los resultados”.
No es solo MCP
La divulgación se produce cuando Trustwave SpiderLabs reveló que el protocolo de Agent2Agent (A2A) recientemente introducido, que permite la comunicación y la interoperabilidad entre las aplicaciones de agente, podría expuestos a ataques de formulario novedosos donde el sistema se puede ver para enrutar todas las solicitudes a un agente de IA desobediente al mentir sobre sus capacidades.
A2A fue anunciado por Google a principios de este mes como una forma para que los agentes de IA trabajen en sistemas y aplicaciones de datos en conjunto, independientemente del proveedor o el entorno utilizado. Es importante tener en cuenta aquí que mientras MCP conecta LLM con datos, A2A conecta un agente de IA a otro. En otras palabras, los dos son protocolos complementarios.
“Digamos que comprometimos al agente a través de otra vulnerabilidad (tal vez a través del sistema eficaz), si ahora utilizamos nuestro nodo comprometido (el agente) y elaboramos una polímero de agente y verdaderamente exageramos nuestras capacidades, entonces el agente huésped debe elegirnos cada vez para cada tarea, y enviarnos todos los datos confidenciales del sucesor que debemos analizar”, dijo el investigador de seguridad Tom Naves.
“El ataque no solo se detiene para capturar los datos, sino que puede ser activo e incluso devolver resultados falsos, que luego serán actuados alrededor de debajo por el LLM o el sucesor”.
